Kennwortrichtlinien
Aufrufbar über die lokalen Sicherheitsrichtlinien mit secpol.msc
Komplexitätsvoraussetzungen
Kennwort muss Komplexitätsvoraussetzungen entsprechen
Mit dieser Sicherheitseinstellung wird festgelegt, dass Kennwörter die Komplexitätsvoraussetzungen erfüllen müssen.
Wenn diese Richtlinie aktiviert ist, müssen Kennwörter die folgenden Mindestvoraussetzungen erfüllen:
- Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
- Das Kennwort muss mindestens sechs Zeichen lang sein.
- Das Kennwort muss Zeichen aus drei der folgenden Kategorien enthalten:
- Großbuchstaben (A bis Z)
- Kleinbuchstaben (a bis z)
- Zahlen zur Basis 10 (0 bis 9)
- Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
- Die Komplexitätsvoraussetzungen werden erzwungen, wenn Kennwörter geändert oder erstellt werden.
Standardwert:
Aktiviert auf Domänencontrollern.
Deaktiviert auf eigenständigen Servern.
Hinweis: Standardmäßig wird für Mitgliedscomputer die Konfiguration ihrer Domänencontroller verwendet.
Kennwortchronik
Kennwortchronik erzwingen
Mit dieser Sicherheitseinstellung wird die Anzahl von eindeutigen neuen Kennwörtern ermittelt, die mit einem Konto verknüpft werden müssen, bevor ein altes Kennwort wieder verwendet werden kann. Der Wert muss zwischen 0 und 24 Kennwörtern liegen.
Mit dieser Richtlinie können Administratoren die Sicherheit erhöhen, indem sichergestellt wird, dass alte Kennwörter nicht ständig wieder verwendet werden.
Standardwert:
24 bei Domänencontrollern.
0 bei eigenständigen Servern.
Hinweis: Standardmäßig wird für Mitgliedscomputer die Konfiguration ihrer Domänencontroller verwendet.
Um die Wirksamkeit der Kennwortchronik sicherzustellen, sollten Sie nicht zulassen, dass Kennwörter nach einer soeben erfolgten Änderung sofort wieder geändert werden können. Hierzu müssen Sie auch die Sicherheitsrichtlinieneinstellung „Minimales Kennwortalter“ aktivieren. Weitere Informationen zur Sicherheitsrichtlinieneinstellung „Minimales Kennwortalter“ finden Sie unter „Minimales Kennwortalter“.
Kennwörter mit umkehrbarer Verschlüsselung
Kennwörter mit umkehrbarer Verschlüsselung speichern
Mit dieser Sicherheitseinstellung wird festgelegt, ob das Betriebssystem Kennwörter mit umkehrbarer Verschlüsselung speichert.
Diese Richtlinie bietet Unterstützung für Anwendungen, die Protokolle verwenden, denen zu Authentifizierungszwecken das Kennwort des Benutzers bekannt sein muss. Das Speichern von Kennwörtern mit umkehrbarer Verschlüsselung unterscheidet sich im Prinzip nicht vom Speichern von Nur-Text-Versionen der Kennwörter. Aus diesem Grund sollte diese Richtlinie nur dann aktiviert werden, wenn die Anwendungsanforderungen Vorrang haben vor dem Schutz der Kennwortinformationen.
Diese Richtlinie ist erforderlich, wenn die CHAP-Authentifizierung (Challenge-Handshake Authentication-Protokoll) über Remotezugriff erfolgt oder hierzu die Internetauthentifizierungsdienste verwendet werden. Zudem ist die Richtlinie erforderlich, wenn in Internetinformationsdienste (IIS) die Digestauthentifizierung verwendet wird.
Standardwert: Deaktiviert.
Maximales Kennwortalter
Mit dieser Sicherheitseinstellung wird der Zeitraum (in Tagen) festgelegt, für den ein Kennwort verwendet werden kann, bevor das System den Benutzer auffordert, das Kennwort zu ändern. Sie können festlegen, dass die Kennwörter nach der angegebenen Anzahl von Tagen (zwischen 1 und 999 Tagen) ablaufen, oder Sie können angeben, dass Kennwörter niemals ablaufen, indem sie die Anzahl von Tagen auf 0 festlegen. Wenn das maximale Kennwortalter zwischen 1 und 999 Tagen liegt, muss das minimale Kennwortalter niedriger als das maximale Kennwortalter sein. Wenn das maximale Kennwortalter auf 0 festgelegt ist, kann das minimale Kennwortalter ein beliebiger Wert zwischen 0 und 998 Tagen sein.
Hinweis: Es ist eine bewährte Sicherheitsmethode, für das Kennwort je nach Umgebung eine Gültigkeit zwischen 30 und 90 Tagen festzulegen. Auf diese Weise steht einem Angreifer nur ein beschränkter Zeitraum zum Knacken eines Benutzerkennworts zur Verfügung, um sich Zugang zu den Netzwerkressourcen zu verschaffen.
Standardwert: 42.
Minimale Kennwortlänge
Mit dieser Sicherheitseinstellung wird die Mindestanzahl von Zeichen festgelegt, die ein Kennwort für ein Benutzerkonto enthalten muss. Sie können einen Wert zwischen 1 und 20 Zeichen angeben oder festlegen, dass kein Kennwort erforderlich ist, indem Sie die Anzahl von Zeichen auf 0 festlegen.
Standardwert:
7 bei Domänencontrollern.
0 bei eigenständigen Servern.
Hinweis: Standardmäßig wird für Mitgliedscomputer die Konfiguration ihrer Domänencontroller verwendet.
Minimales Kennwortalter
Mit dieser Sicherheitseinstellung wird der Zeitraum (in Tagen) festgelegt, für den ein Kennwort verwendet werden muss, bevor der Benutzer das Kennwort ändern kann. Sie können einen Wert zwischen 1 und 998 Tagen festlegen, oder Sie können ein sofortiges Ändern des Kennworts zulassen, indem Sie die Anzahl von Tagen auf 0 setzen.
Das minimale Kennwortalter muss niedriger als das maximale Kenwortalter sein, es sei denn, das maximale Kennwortalter ist auf 0 gesetzt, das heißt, die Kennwörter laufen niemals ab. Wenn das maximale Kennwortalter auf 0 gesetzt ist, kann das minimale Kennwortalter auf einen Wert zwischen 0 und 998 gesetzt werden.
Legen Sie für das minimale Kennwortalter einen Wert von über 0 fest, wenn Sie möchten, dass die Sicherheitsrichtlinie „Kennwortchronik erzwingen“ wirksam ist. Ohne ein minimales Kennwortalter können Benutzer kurz nacheinander immer wieder ein Kennwort ändern, bis sie wieder ein altes Lieblingskennwort verwenden dürfen. Bei der Standardeinstellung wird diese Empfehlung nicht befolgt, damit ein Administrator ein Kennwort für einen Benutzer festlegen und den Benutzer dann bei der Anmeldung auffordern kann, das vom Administrator definierte Kennwort zu ändern. Wenn die Kennwortrichtlinie auf 0 festgelegt ist, muss der Benutzer kein neues Kennwort festlegen. Aus diesem Grund ist „Kennwortchronik erzwingen“ standardmäßig auf 1 festgelegt.
Standardwert:
1 bei Domänencontrollern.
0 bei eigenständigen Servern.
Hinweis: Standardmäßig wird für Mitgliedscomputer die Konfiguration ihrer Domänencontroller verwendet.
Kontosperrungsrichtlinien
Kontosperrungsschwelle
Diese Sicherheitseinstellung legt die Anzahl von nicht erfolgreichen Anmeldeversuchen fest, nach denen ein Benutzerkonto gesperrt wird. Ein gesperrtes Konto kann erst wieder verwendet werden, nachdem ein Administrator es zurückgesetzt hat oder nachdem die Kontosperrdauer für das Konto abgelaufen ist. Sie können einen Wert zwischen 0 und 999 nicht erfolgreichen Anmeldeversuchen festlegen. Wenn Sie den Wert auf 0 festlegen, wird das Konto nie gesperrt.
Zu den nicht erfolgreichen Anmeldeversuchen zählen falsche Kennworteingaben bei Arbeitsstationen oder Mitgliedsservern, die entweder über STRG+ALT+ENTF oder kennwortgeschützte Bildschirmschoner gesperrt wurden.
Standardwert: 0.
Kontosperrdauer
Mit dieser Sicherheitseinstellung wird festgelegt, wie lange (in Minuten) ein gesperrtes Konto gesperrt bleibt, bevor die Sperre automatisch aufgehoben wird. Es kann eine Dauer zwischen 0 und 99.999 Minuten festgelegt werden. Wenn Sie die Kontosperrdauer auf 0 festlegen, wird das Konto gesperrt, bis ein Administrator die Sperre explizit aufhebt.
Wenn eine Kontensperrungsschwelle definiert ist, muss die Kontosperrdauer größer oder gleich der Zurücksetzungszeit sein.
Standardwert: „Kein“, da diese Richtlinie nur relevant ist, wenn eine Kontensperrungsschwelle angegeben ist.
Kontosperrungszähler
Zurücksetzungsdauer des Kontosperrungszählers: Mit dieser Sicherheitseinstellung wird die Anzahl von Minuten festgelegt, die nach einem nicht erfolgreichen Anmeldeversuch verstreichen müssen, bis der Zähler für nicht erfolgreiche Anmeldeversuche auf 0 ungültige Anmeldeversuche zurückgesetzt wird. Zulässig sind Werte zwischen 1 und 99.999 Minuten.
Wenn eine Kontensperrungsschwelle definiert ist, muss die Zurücksetzungsdauer kleiner oder gleich der Kontosperrdauer sein.
Standardwert: „Kein“, da diese Richtlinieneinstellung nur relevant ist, wenn eine Kontensperrungsschwelle angegeben ist.